首页>网络安全资讯>GPDR下,中美互联网企业的不同应对

GPDR下,中美互联网企业的不同应对

风云巨变

这个春天,全球互联网异常动荡。我和小伙伴们,全部瑟瑟发抖。

3月,我所在的Facebook深陷“剑桥分析”大事件,股价狂跌;

4月,好基友小B的东家,国内风头正劲的某新闻分发App,被勒令全线整改;

5月,也就是上周,在英国创业的校友Jack,给我发来了微信:“Han,我公司完了,求内推。”

我问:“你这AI创业好好的,怎么就完了呢?”

他说:“我们的商业模式,在GDPR条款下根本无法生存。”原来,欧盟的最新隐私法GDPR条款触碰到了AI企业的利益。5月25日起,人类史上最严隐私法,欧盟《通用数据保护法案(General Data Protection Regulation)》,简称GDPR,将开始全面执行。

GDPR的严格程度,到了近乎“变态”的地步。

最明显的是,相较20年前的上一版法令,GDPR扩大了用户隐私的定义范围:几乎一切上网痕迹。基本上可以说是“该管的管了,不该管的也管了”。

这其实也还好。让企业真正肝儿疼的,还在于以下两点:

1. 用户必须同意条款

GDPR条款规定,在使用数据前,企业必须让用户知情。这本身没啥,因为上一版就是这么要求的。

可关键是很麻烦。让企业“心累”的点在于:你必须明确告诉我,你收集了我的什么数据,还有用它干啥了。光这一点,现有的隐私协议99%的都不合法。不合法,那咱就改呗。

可这光是通知用户“新协议已经生效”的Email,就得发无数份......因此,GDPR造就了人类史上最大规模的垃圾邮件周。

这是我的过去一周收到的Email:

从这些标题也不难看出,全都是通知我隐私协议已经更改的Email。

GDPR条款还明确规定,在协议里要说人话。以谷歌为例,新的隐私协议界面,简洁大方,还配上了动画。(详细可参看之前一篇内容:Google推出新版本的隐私权政策以应对GDPR,5月25日生效!)比如,谷歌明确告诉用户,“应用、浏览器和设备信息”都会被收集。

谷歌也告知用户,数据会被用来做什么,比如“用于提供Google的服务”。

除了修改协议以外,另一条规定真的让千万码农倒吸一口凉气。

2. “请忘记我”

去年底,迪士尼动画长片《寻梦环游记》感动了无数人,这部电影的主题曲里有一句歌词叫“请记住我,我们的爱不会消失”。但是在互联网世界里,“记住你”比“忘记你”简单太多了。

GDPR赋予了欧盟人民“被遗忘权”。意思就是,用户可以要求网站,删除于自己相关的数据。你以为这就是点击右键,然后选“删除”这么简单么?当然不是。码农们会说:“这真的没法操作。”

最大的难点在于,你的数据早就被复制太多份了,很难删干净,而且现有的存储架构,可能根本不支持这样的操作。

咱们以BAT分别举例来看看。

先看腾讯。为了用户增长,大部分App会支持微信登录。于是,你的微信昵称、头像全都被复制到了《王者荣耀》或者其他App里。当你想要删除微信账户的时候,根据条款规定,这些第三方App数据也必须要删除。

再看阿里。从“你可能还喜欢”的商品推荐, 到蚂蚁金服的信贷模型,都在利用你的购买记录数据。码农们为了更快地提取用户特征,早就把数据复制到“合适的地方(如缓存)”无数次了。几乎没人能知道,你的数据究竟在哪里还有备份。

百度的问题可能最严重,主要是搜索引擎。按照GDPR,所有能在百度上搜到的网页,即使是第三方网页,如果和某一用户相关,那用户同样可以要求百度删除相关。而这其实就是著名的“冈萨雷斯”事件。

2014年,西班牙人冈萨雷斯起诉谷歌,希望谷歌删除自己的数据。因为谷歌可以搜到关于他债务问题的报道。经过一系列的诉讼后,谷歌败诉,“被遗忘权”进入公众视野。如今,这起事件中延伸出来的“被遗忘权”已经被明确写入了GDPR。

欧美不合

GDPR条款也带来了“蝴蝶效应”。这是好事么?

当然,我立场坚定地支持保护个人隐私。毕竟,我大概不想让人知道,我买了很多小猪佩奇周边,我也绝对不想再接到莫名其妙的推销电话了。

但GDPR还真的有负面影响,那就是限制发展。大企业将丧失技术活力,而小企业则可能直接死掉

AI圈子里的人都知道,算法不重要,因为能落地的算法早就开源了。AI圈子里,真正核心的其实是数据。谁的数据多、谁的数据独特而精准,那谁的AI就更高级,那外层包裹的产品也就更厉害。

头条凭什么可以精确推荐内容?没有你的阅读行为数据,他能做么?蚂蚁金服凭什么可以做信用体系?没有几乎全部中国的人消费数据,他能做么?谷歌的无人车技术为什么最强?没有多年积攒的道路和用户驾驶数据,他能做么?

AI是现代互联网的技术核心,而数据又是AI的核心。本来,大企业拥有海量数据,理应是AI成果最为重要的产出地。可强大的监管限制了数据的使用,那么技术发展遇到瓶颈,也只是时间问题。

小企业则更加难过。

GDPR条款非常复杂,光是律师费就让很多中小企业难以承担。根据德国保险公司联合会的调查,仅1/5的中小企业能妥善应对GDPR条款的实施。GDPR条款中还规定了天价的罚款:直接罚款2000万欧元,或者罚款额度达企业年营业额的4%。若是面对这样的罚款,小企业可能就要面临关门大吉了

这样一来,隐私法完全成为了互联网发展的命门。也正因此,GDPR条款也只能在欧盟通过了且看世界互联网企业市值排名:中美两国瓜分前十,各占一半,欧盟则完全没有。欧盟国家因为体量有限和语言差异,基本都是依赖美国的互联网产品。

欧美都是“民主政府”,所谓“民主”也就意味着:对于任何法令,大家都可以明目张胆地游说——“找找关系”。

“这不行啊,我们企业会死,要不您看这么改行吗?”GDPR条款的草案在2012年公布之后,就收到了来自美国互联网企业狂轰滥炸般的游说,其中正式提出的修改意见,数量竟然超过了4000份。

最终法案还是通过了,毕竟在广泛接收难民的欧洲,人权真的非常重要。“即使技术不发展,也不能有损个人隐私”,这就是欧盟的态度。不过,欧盟在技术上,倒也是没啥可损失的了。

这要是在美国,就不好说了。

美国的互联网企业们,每年都会在国会上“打点”。其中,亚马逊和谷歌是常年的游说大户,尤其是特朗普上台后。互联网企业们希望确保政策上别出幺蛾子,这是游说的主要目的。

“找找关系”的效果非常显著:科技股,目前在美股中受到的监管最少,仅有不到3万条监管条例。而隔壁的制造业,则有着超过20万条监管条例。

这就造成了一个结果,美国的隐私监管力度,远远不及欧盟国家。

美国和欧盟隐私保护矛盾,其实由来已久。

1995年,欧盟通过了GDPR条款的前身《个人数据保护指令》。其中就明确规定,隐私数据不能出境。除非目的国有“充分”的数据立法。而那时,美国坚持不立法,隐私保护只靠行业自律。

这显然不能让欧盟开心。直到2000年,美欧双方才各让出一步,签订了著名的《安全港协议(Safe Harbor)》。可以说,这个协议是在美欧政策中取得了一个中间值,是一种妥协。

但在GDPR条款发布后,美国企业颤抖了。5月29日,美国商会公开表示,GDPR条款“过于严格”,已经开始与欧盟接触。包括谷歌在内,数十家美国互联网企业联合成立Developers Alliance,并表示,这些企业每年在欧洲的损失可能超过5500亿欧元。

美国作为商业帝国,最害怕的不是隐私,而是失去“绝对领域”,也就是失去“技术壁垒”——全球竞争的护城河。这一点,从前段时间的“中兴事件”也可以看出来。严格的监管,必然会拖累美国的科技发展,这正是美国所害怕的。

中国隐私

欧美两国闹得热火朝天,但作为世界第二大经济体和互联网发展最快的国家,中国的情况就很微妙了。

中国有数据保护的相关法律么?

有,那就是一年前刚刚实施的《网络安全法》。可是,它的重点在于保障国家的信息安全,关注个人隐私的部分几乎没有。整个法令中,仅仅提及了两次“隐私”。与GDPR条款这样详尽的规定,还有着很大差距。

对个人隐私的注重,国内目前更多的还是靠企业自律。“先凑合用着,出了事再说”,这样的观念仍存在于中国互联网行业。

其实中国的情况非常尴尬,“发展”和“污染”总是不可调和的。在硅谷,所有的产品经理头上都有一把刀:Privacy Issue(隐私问题)。产品上线前,必须交由专业律师团队审核。一旦有潜在的隐私顾虑,即使明知KPI一定会大涨,新的产品也不会上线。

而在中国,激烈的竞争之下,产品经理头上的那把刀就不是隐私了,而是KPI。成功的标准永远是有多少人用了新产品、有多少增长率、有多少盈利。纵使存在隐私问题,还是有无数企业选择牺牲隐私,换来产品数据的野蛮增长。而最终中国得到的,是世界互联网产业的半边天。

这一幕似曾相识。还记得“先污染,后治理”么?牺牲环境换来工业发展,以此用30年的改革开放,走完了西方必须要花200年才能走完的路。

中国人不仅在“用隐私换便利”,更多的,是换来了中国互联网的快速崛起,还有在全球互联网产业中的强大话语权。

隐私是互联网的命门,它平衡了“发展”和“污染”。这个度,怎么拿捏,是各国政府的难题。

欧盟选择直接放弃互联网发展,杜绝“污染”。“欧洲将成为数字技术死水。”欧盟议员Daniel Dalton如是说,这个选择,是欧盟的最佳选项。不仅符合欧洲的白左当道的“政治正确”,还把“发展”的损失减到了最低。毕竟,欧洲根本没有大型互联网企业。

美国则选择“动态平衡”。这是在世界公众舆论和政府企业游说中,找寻到“发展”和“污染”的平衡点。

那中国呢?

按照过去的环境问题来看,难道真的要等到“雾霾”来的那一天,再提上治理日程吗?

 

本文转自微信公众号,原文标题《互联网的命门》,作者:HanGrowth

相关文章推荐

欧盟数据隐私安全法案“GDPR”即将生效,企业如何应对?

欧盟《通用数据保护条例》(简称GDPR)将于2018年5月25日生效,将对企业收集、控制和处理个人数据的方式产生深远影响。与欧盟监管下的客户进行的任何业务,都需要遵守GDPR。如果违反GDPR将面临可高达2千万欧元或全球年营业额的4%的巨额罚款,而且不能用对该法规的无知作为辩护。